سرویس فیشینگ EvilProxy حفاظت از حسابهای وزارت خارجه را تهدید میکند
بر اساس وبلاگی که روز دوشنبه توسط یک شرکت امنیتی نقطه پایانی منتشر شد، یک پیشنهاد جدید فیشینگ به عنوان یک سرویس در وب تاریک تهدیدی برای حسابهای آنلاین محافظت شده با احراز هویت چند عاملی است.
این سرویس که EvilProxy نام دارد، به عوامل تهدید اجازه میدهد تا کمپینهای فیشینگ را با قابلیت دور زدن MFA در مقیاس بدون نیاز به هک سرویسهای بالادستی راهاندازی کنند.
این سرویس از روشهای مورد علاقه APT و گروههای جاسوسی سایبری برای به خطر انداختن حسابهای محافظت شده توسط وزارت امور خارجه استفاده میکند. به گفته محققان، چنین حملاتی علیه مشتریان گوگل و مایکروسافت که MFA را در حساب های خود فعال کرده اند، از طریق پیامک متنی یا توکن برنامه کشف شده است.
پیوندهای فیشینگ تولید شده توسط EvilProxy به صفحات وب شبیه سازی شده منجر می شود که برای به خطر انداختن حساب های مرتبط با تعدادی از سرویس ها از جمله Apple iCloud، Facebook، GoDaddy، GitHub، Dropbox، Instagram، NPM، PyPI، RubyGems، Twitter، Yahoo و Yandex ساخته شده اند.
محققان نوشتند که به احتمال زیاد عوامل تهدید کننده ای که از EvilProxy استفاده می کنند، هدف قرار دادن توسعه دهندگان نرم افزار و مهندسان فناوری اطلاعات برای دسترسی به مخازن آنها با هدف نهایی هک کردن اهداف “پایین دستی” هستند.
آنها توضیح دادند که این تاکتیکها به مجرمان سایبری اجازه میدهد تا از کاربران نهایی که تصور میکنند بستههای نرمافزاری را از منابع امن دانلود میکنند و انتظار به خطر انداختن آنها را ندارند، سرمایهگذاری کنند.
سریعتر، سریعتر، بهتر
آنچه در این مقاله میخوانید
آویاد گرشون، رهبر تیم تحقیقاتی امنیتی در Checkmarx، یک امنیت برنامه، گفت: «این حادثه تهدیدی برای زنجیرههای تأمین نرمافزار است، زیرا توسعهدهندگان را هدف قرار میدهد و به مشتریان مجرم سایبری سرویس این امکان را میدهد تا کمپینهایی را علیه GitHub، PyPI و NPM راه اندازی کنند. شرکت، در تل آویو، اسرائیل.
او به TechNewsWorld گفت: «فقط دو هفته پیش، اولین حمله فیشینگ علیه مشارکت کنندگان PyPI را دیدیم، و اکنون می بینیم که این سرویس با در دسترس قرار دادن این کمپین ها برای اپراتورهای فنی کمتر و با افزودن این قابلیت، آن را چند قدم جلوتر می برد. برای دور زدن وزارت امور خارجه.»
Tzachi Zorenstain، رئیس امنیت زنجیره تامین Checkmarx افزود که ماهیت حملات زنجیره تامین، دامنه و تاثیر حملات سایبری را افزایش میدهد.
او به TechNewsWorld گفت: «سوء استفاده از اکوسیستم منبع باز راهی آسان برای مهاجمان برای افزایش اثربخشی حملات خود است. ما معتقدیم این شروع روندی است که در ماه های آینده افزایش خواهد یافت.
تبلیغات
یک پلت فرم فیشینگ به عنوان یک سرویس نیز می تواند اثربخشی مهاجم را افزایش دهد. Gene Yoo مدیر عامل Resecurity می گوید: «از آنجایی که PhaaS می تواند کارها را در مقیاس انجام دهد، به دشمنان این امکان را می دهد که در سرقت و جعل هویت کارآمدتر باشند.
او به TechNewsWorld گفت: «کمپینهای فیشینگ قدیمی به پول و منابع نیاز دارند، که میتواند برای یک نفر سنگین باشد. “PhaaS سریعتر، سریعتر، بهتر است.”
او افزود: “این چیزی است که بسیار منحصر به فرد است.” “تولید یک سرویس فیشینگ در این مقیاس بسیار نادر است.”
بسته بندی زیبا
Alon Nachmany، مسئول CISO در AppViewX، یک شرکت مدیریت چرخه عمر گواهی و اتوماسیون شبکه، در شهر نیویورک، توضیح داد که بسیاری از خدمات غیرقانونی، هک و راهحلهای هدف مخرب محصولات هستند.
او به TechNewsWorld گفت: «با استفاده از راهحلهای PhaaS، بازیگران مخرب سربار کمتری دارند و امکان راهاندازی کمتری برای شروع یک حمله دارند.
او ادامه داد: «راستش، من متعجبم که این مدت طول کشید تا تبدیل به یک چیز شود. بازارهای زیادی وجود دارد که می توانید نرم افزار باج افزار را خریداری کرده و آن را به کیف پول خود پیوند دهید. پس از استقرار، می توانید باج جمع آوری کنید. تنها تفاوت اینجا این است که به طور کامل برای مهاجم میزبانی می شود.
مونیا دنگ، مدیر بازاریابی محصول در Bolster، ارائهدهنده حفاظت خودکار در معرض خطر دیجیتال، در لوس آلتوس، کالیفرنیا، اضافه کرد: در حالی که فیشینگ در دنیای هک کردن اغلب به عنوان یک فعالیت کم تلاش در نظر گرفته میشود، اما همچنان نیازمند کمی کار است. او توضیح داد که برای انجام کارهایی مانند راه اندازی یک سایت فیشینگ، ایجاد یک ایمیل، ایجاد یک مدیر خودکار، و امروزه، سرقت اعتبار 2FA در بالای اعتبارنامه های اولیه.
او ادامه داد: «با PhaaS، همه چیز به صورت اشتراکی برای مجرمانی که نیازی به تجربه هک یا حتی مهندسی اجتماعی ندارند، به خوبی بسته بندی شده است. این زمینه را برای بسیاری از بازیگران تهدید کننده که به دنبال بهره برداری از سازمان ها برای منافع خود هستند، باز می کند.”
بازیگران بد، نرم افزار عالی
محققان Resecurity توضیح دادند که پرداخت برای EvilProxy به صورت دستی از طریق اپراتور در تلگرام سازماندهی شده است. پس از دریافت وجوه برای اشتراک، آنها به حساب کاربری در پورتال مشتری میزبانی شده در TOR واریز می شوند. این کیت با قیمت 400 دلار در ماه موجود است.
پورتال EvilProxy شامل چندین آموزش و ویدیوهای تعاملی در مورد استفاده از سرویس و نکات پیکربندی است. محققان نوشتند: «صادقانه بگوییم، بازیگران بد از نظر قابلیت استفاده از سرویس، و پیکربندی کمپینهای جدید، جریان ترافیک و جمعآوری دادهها کار بزرگی انجام دادند.»
تبلیغات
جورج گرچو، CSO و معاون ارشد فناوری اطلاعات در Sumo Logic، یک شرکت تحلیلی که بر امنیت، عملیات و اطلاعات تجاری تمرکز دارد، در Redwood City، کالیفرنیا، مشاهده کرد: “این حمله فقط بلوغ جامعه بازیگران بد را نشان می دهد.”
او به TechNewsWorld گفت: “آنها این کیت ها را با مستندات و فیلم های دقیق بسته بندی می کنند تا کار را آسان کنند.”
محققان خاطرنشان کردند که این سرویس از اصل “پروکسی معکوس” استفاده می کند. این کار به این صورت است: بازیگران بد قربانیان را به یک صفحه فیشینگ هدایت میکنند، از پروکسی معکوس برای واکشی تمام محتوای قانونی که کاربر انتظار دارد ببیند استفاده میکند، و هنگام عبور از پروکسی، ترافیک آنها را استشمام میکند.
هدر ایانوچی، تحلیلگر CTI در Tanium، سازنده یک پلتفرم مدیریت نقطه پایانی و امنیت، در کرکلند، واش، گفت: «این حمله نشان میدهد که موانع ورود برای بازیگران ساده چقدر کم است.
او به TechNewsWorld گفت: «با EvilProxy، یک سرور پراکسی بین سرور پلتفرم قانونی و صفحه فیشینگ قرار میگیرد که کوکی جلسه قربانی را میدزدد. “سپس عامل تهدید می تواند از این برای ورود به سایت قانونی به عنوان کاربر بدون MFA استفاده کند.”
یو افزود: “دفاع در برابر EvilProxy یک چالش است زیرا فریب قربانی و دور زدن MFA را ترکیب می کند.” «سازش واقعی برای قربانی نامرئی است. همه چیز خوب به نظر می رسد، اما اینطور نیست.»
هنوز موثر است
Nachmany هشدار داد که کاربران باید در مورد اثربخشی MFA که از پیام های متنی یا نشانه های برنامه استفاده می کند نگران باشند. او گفت: “Phaas برای استفاده از آنها طراحی شده است و این روندی است که در بازار ما رشد خواهد کرد.”
وی افزود: “استفاده از گواهینامه ها به عنوان یک عامل اضافی یکی از مواردی است که من پیش بینی می کنم به زودی استفاده از آن افزایش یابد.”
پاتریک هار، مدیر عامل SlashNext، یک شرکت امنیت شبکه در Pleasanton، کالیفرنیا، اظهار داشت: در حالی که کاربران باید هنگام استفاده از MFA مراقب باشند، اما همچنان یک کاهش موثر در برابر فیشینگ است.
او گفت: «این کار دشواری استفاده از اعتبارنامههای به خطر افتاده برای نقض یک سازمان را افزایش میدهد، اما بیخطا نیست». اگر پیوندی کاربر را به یک کپی جعلی از یک سایت قانونی هدایت کند – سایتی که تشخیص آن تقریبا غیرممکن است – آنگاه کاربر می تواند قربانی یک حمله دشمن در وسط شود، مانند آنچه توسط EvilProxy استفاده می شود. “